1. 首页
  2. IT资讯

一篇很有意义的MSSQL修改启动账户和口令的帖子

帖子太大了,挑些主要的写一下吧:

SQL code 创建角色,用户,权限

/*

–示例说明        示例在数据库pubs中创建一个拥有表jobs的所有权限、拥有表titles的SELECT权限的角色r_test    随后创建了一个登录l_test,然后在数据库pubs中为登录l_test创建了用户账户u_test    同时将用户账户u_test添加到角色r_test中,使其通过权限继承获取了与角色r_test一样的权限    最后使用DENY语句拒绝了用户账户u_test对表titles的SELECT权限。    经过这样的处理,使用l_test登录SQL Server实例后,它只具有表jobs的所有权限。

–*/

USE pubs

–创建角色  r_test

EXEC sp_addrole 'r_test'

–授予 r_test 对 jobs 表的所有权限

GRANT ALL ON jobs TO r_test

–授予角色 r_test 对 titles 表的 SELECT 权限

GRANT SELECT ON titles TO r_test

–添加登录 l_test,设置密码为pwd,默认数据库为pubs

EXEC sp_addlogin 'l_test','pwd','pubs'-

-为登录 l_test 在数据库 pubs 中添加安全账户 u_test

EXEC sp_grantdbaccess 'l_test','u_test'

–添加 u_test 为角色 r_test 的成员

EXEC sp_addrolemember 'r_test','u_test'

–拒绝安全账户 u_test 对 titles 表的 SELECT 权限

DENY SELECT ON titles TO u_test

/*

–完成上述步骤后,用 l_test 登录,可以对jobs表进行所有操作,但无法对titles表查询,虽然角色 r_test 有titles表的select权限,但已经在安全账户中明确拒绝了对titles的select权限,所以l_test无titles表的select权限–*/

-从数据库 pubs 中删除安全账户

EXEC sp_revokedbaccess 'u_test'

–删除登录 l_test

EXEC sp_droplogin 'l_test'–删除角色 r_test

EXEC sp_droprole 'r_test'

SQL code

–1. 创建示例环境。首先使用下面的代码创建一个登录l_test,并且为登录在数据库pubs中创建关联的用户账户u_test,并且授予用户账户u_test对表titles的SELECT权限,用以实现登录l_test连接到SQL Server实例后,可以访问表titles。然后创建了一个应用程序角色r_p_test,授予该角色对表jobs的SELECT权限,用以实现激活r_p_test时,允许访问特定的表jobs。

USE pubs

–创建一个登录 l_test, 密码 pwd, 默认数据库 pubs

EXEC  sp_addlogin  'l_test','pwd','pubs' 

–为登录 l_test 在数据库 pubs 中添加安全账户 u_test

EXEC sp_grantdbaccess 'l_test','u_test'

–授予安全账户 u_test 对 titles 表的 SELECT 权限

GRANT SELECT ON titles TO u_test

–创建一个应用程序角色 r_p_test, 密码 abc

EXEC sp_addapprole 'r_p_test','abc'

–授予角色 r_p_test 对 jobs 表的 SELECT 权限

GRANT SELECT  ON jobs TO r_p_testGO

–2. 激活应用程序角色。

/*–激活说明    示例环境创建完成后,在任何地方(比如查询分析器、应用程序)    使用登录l_test连接SQL Server实例,均只能访问表titles,或者是guest用户        和public角色允许访问的对象。    如果要在某些特定的应用程序中,允许登录访问表jobs,那么,        可以激活应用程序角色r_p_test,激活应用程序角色后,登录本身的权限会消失。    下面在查询分析器中登录,演示激活应用程序角色r_p_test前后对数据访问的区别。–*/

–激活应用程序角色 r_p_test 前,登录具有表 titles 的访问权,但无表 jobs 的访问权

SELECT titles_count=COUNT(*) FROM titles

SELECT jobs_count=COUNT(*) FROM jobs

/*–结果:

titles_count ———— 

18

所影响的行数为 1 行)

服务器: 消息 229,级别 14,状态 5,行 2拒绝了对对象 'jobs'(数据库 'pubs',所有者 'dbo')的 SELECT 权限。

–*/

GO

–用密码 abc 激活 r_p_test 应用程序角色,并且在将此密码发送到SQL Server之前对其加密

EXEC sp_setapprole 'r_p_test',{Encrypt N'abc'},'ODBC'

GO

–激活应用程序角色 r_p_test 后,登录失去表 titles 的访问权,获取表 jobs 的访问权

SELECT titles_count=COUNT(*) FROM titles

SELECT jobs_count=COUNT(*) FROM jobs

/*–结果服务器: 消息 229,级别 14,状态 5,行 2拒绝了对对象 'titles'(数据库 'pubs',所有者 'dbo')的 SELECT 权限。jobs_count  ———– 14(所影响的行数为 1 行)–*/

SQL code 

exec sp_dropsrvrolemember N'aa', sysadmingo

exec sp_addsrvrolemember N'aa', securityadmingo

–作好SQL的安全管理–作者:邹建首先,做好用户安全:   

–简单的,只允许sql的用户访问sql(防止利用administrator组用户访问)  

 1.企业管理器–右键SQL实例–属性–安全性–身份验证–选择”sql  server和windows”–确定 

 2.企业管理器–安全性–登陆–右键sa–设置密码–其他用户也设置密码   

3.删除用户:             BUILTINAdministrators             <机器名>Administrator  

–这个用户不一定有     这样可以防止用windows身份登陆SQL   

4.设置进入企业管理器需要输入密码  在企业管理器中             

-右键你的服务器实例(就是那个有绿色图标的)             

–编辑SQL Server注册属性             

–选择”使用 SQL Server 身份验证”             

–并勾选”总是提示输入登录名和密码”             

–确定   

–经过上面的设置,你的SQL  Server基本上算是安全了.  

————————————————————————   

其次,改默认端口,隐藏服务器,减少被攻击的可能性   SQL Server服务器             

–开始             

–程序             

–Microsoft  SQL  Server             

–服务器网络实用工具            

-启用的协议中”TCP/IP”             

–属性             

–默认端口,输入一个自已定义的端口,比如2433             

–勾选隐藏服务器  

 —————————————————————————-  

–管好sql的用户,防止访问他不该访问的数据库(总控制,明细还可以控制他对于某个数据库的具体对象具有的权限)   

–切换到你新增的用户要控制的数据库  use  你的库名  go   

–新增用户  exec  sp_addlogin  'test'            

–添加登录  exec  sp_grantdbaccess  N'test'            

–使其成为当前数据库的合法用户  exec  sp_addrolemember  N'db_owner',  N'test'            

–授予对自己数据库的所有权限   

–这样创建的用户就只能访问自己的数据库,及数据库中包含了guest用户的公共表  go   

–删除测试用户  exec  sp_revokedbaccess  N'test'            

–移除对数据库的访问权限  exec  sp_droplogin  N'test'            

–删除登录  如果在企业管理器中创建的话,就用:企业管理器–安全性–右键登录–新建登录常规项–名称中输入用户名–身份验证方式根据你的需要选择(如果是使用windows身份验证,则要先在操作系统的用户中新建用户)–默认设置中,选择你新建的用户要访问的数据库名服务器角色项这个里面不要选择任何东西数据库访问项勾选你创建的用户需要访问的数据库名数据库角色中允许,勾选”public”,”db_ownew”确定,这样建好的用户与上面语句建立的用户一样

 —————————————————————————  

最后一步,为具体的用户设置具体的访问权限,这个可以参考下面的最简示例:  

–添加只允许访问指定表的用户:  exec  sp_addlogin  '用户名','密码','默认数据库名'   

–添加到数据库  

exec  sp_grantdbaccess  '用户名' 

–分配整表权限  

GRANT  SELECT ,  INSERT ,  UPDATE ,  DELETE  ON table1 TO [用户名]

-分配权限到具体的列

GRANT  SELECT ,  UPDATE  ON table1(id,AA) TO [用户名]  

——————————————————————-  

至于具体的安全设置和理论知道,参考SQL联机帮助 SQL code 

/*–创建一个只允许特定程序使用的数据库用户    创建一个用户,这个用户只有用我们特定的应用程序登录    才具有访问数据库的权限,用其他工具登录没有任何权限    在下面的示例中,演示了如何控制登录l_test    使其登录后只允许访问pubs数据库的titles表    而对jobs表的访问权限,只允许在某些许可的应用程序中访问。–邹建 2004.09(引用请保留此信息)–*/

–创建测试环境USE pubs

–创建一个登录 l_test, 密码 pwd, 默认数据库 pubs

EXEC  sp_addlogin  'l_test','pwd','pubs' 

–为登录 l_test 在数据库 pubs 中添加安全帐户 u_test

EXEC sp_grantdbaccess 'l_test','u_test'

–授予安全帐户 u_test 对 titles 表的 SELECT 权限

GRANT SELECT ON titles TO u_test

–创建一个应用程序角色 r_p_test, 密码 abc

EXEC sp_addapprole 'r_p_test','abc'

–授予角色 r_p_test 对 jobs 表的 SELECT 权限

GRANT SELECT  ON jobs TO r_p_testGO

–创建好上面的测试后,现在来测试如何使用应用程序角色–我们把用户及密码告诉使用者,即告诉使用者,用户是: l_test,密码是: pwd

–使用者可以用我们这个用户在任何地方登录,包含查询分析器

–但是,用户只能访问 titles 表,不能访问其他对象,如果建立用户时不授予它任何权限,则它不访问除guest用户和public角色允许访问外的任何对象

–OK,到这里,我们是把用户控制住了

–下面我们再来说在程序中的处理,因为用户在程序中登录后,需要对jobs表有访问权限的–我们只需要在用户登录后,执行一句    

EXEC sp_setapprole 'r_p_test',{Encrypt N'abc'},'ODBC'

–这样,我们登录的用户就转变为 r_p_test 角色的权限,而它自身的权限丢失

–只要这个用户不退出应用程序,他的权限就会保持–如果用户退出了当前应用程序,则他的权限自动收回

–同时,这个用户即使没有退出应用程序,他也是只在我们的应用程序中有权限,在其他地方登录,也不会有权限

–因为这个密码我们是不用给用户的,所以,用户没有这个角色的密码,也就限制了他只能在程序中使用我们的数据

–激活应用程序角色 r_p_test 前,登录具有表 titles 的访问权,但无表 jobs 的访问权

SELECT titles_count=COUNT(*) FROM titles

SELECT jobs_count=COUNT(*) FROM jobs

/*–结果:

titles_count 

———— 

18

(所影响的行数为 1 行)

服务器: 消息 229,级别 14,状态 5,行 2拒绝了对对象 'jobs'(数据库 'pubs',所有者 'dbo')的 SELECT 权限。–*/

GO

–用密码 abc 激活 r_p_test 应用程序角色,并且在将此密码发送到SQL Server之前对其加密

EXEC sp_setapprole 'r_p_test',{Encrypt N'abc'},'ODBC'GO

–激活应用程序角色 r_p_test 后,登录失去表 titles 的访问权,获取表 jobs 的访问权

SELECT titles_count=COUNT(*) FROM titles

SELECT jobs_count=COUNT(*) FROM jobs

/*

–结果服务器: 消息 229,级别 14,状态 5,行 2拒绝了对对象 'titles'(数据库 'pubs',所有者 'dbo')的 SELECT 权限。

jobs_count 

 ———– 14

(所影响的行数为 1 行)–*/

go

–删除测试

EXEC sp_dropapprole 'r_p_test'

EXEC sp_revokedbaccess 'u_test'

EXEC sp_droplogin 'l_test'

对于第一个问题是否可以用SCM呢?SCM有做添加文件夹目录和注册表读取权限么?只是纯粹修改服务启动账号?请大虾指教。

  scm  -Action  {1  |  2  |  3  |  4  |  5  |  6  |  7}  
          -Service  service_name  
          [-Server  server_name]  
          [-Pwd  sa_password]  
          [-StartupOptions  startup_option  [  …n]  ]  
          [-ExePath  exe_file_path]  
          [-SvcStartType  {1  |  2}]  
          [-SvcAccount  service_account]  
          [-SvcPwd  service_password]  
          [-Dependencies  service_name_dependency  [;…n]  ]  
    
  -Action  {1  |  2  |  3  |  4  |  5  |  6  |  7}  
    
  指定实用工具执行下列何种操作。  
    
  代码  对策    
  1  开始    
  2  重新启动    
  3  正在运行    
  4  删除服务    
  5  安装服务    
  6  停止    
  7  修改    
    
    
  scm  实用工具返回消息框以指出操作是成功还是失败。使用操作代码  3  时,成功表示该服务正在运行,

失败则表示该服务没有运行。  
    
  -Service  service_name  
    
  指定被影响的  SQL  Server  2000  服务。  
    
  [-Server  server_name]  
    
  指定其服务将受到影响的服务器。默认设置是本地计算机。  
    
    
    
  说明    不要在  server_name  中包含实例名称。仅使用计算机名称。若要影响命名实例,请用  –

Service  选项指定唯一的  service_name。  
    
    
  [-Pwd  sa_password]  
    
  是服务器的  sa  登录密码。默认是空白密码。  
    
  [-StartupOptions  startup_option  [  …n]  ]  
    
  指定当服务启动时使用的用空格分隔的服务器启动选项列表。在安装或修改该服务时可应用该选项。  
    
  [-ExePath  exe_file_path]  
    
  指定可在本地计算机上执行的服务的文件路径。在安装或修改该服务时可应用该选项。  
    
  [-SvcStartType  {1  |  2}]  
    
  指定服务是否自动启动。如果指定  1,则必须手动启动该服务。如果指定  2,则当计算机启动时自动启动该

服务。在安装或修改该服务时可应用该选项。  
    
  [-SvcAccount  service_account]  
    
  指定分配给服务的网络登录帐户。在安装或修改该服务时可应用该选项。  
    
  [-SvcPwd  service_password]  
    
  指定网络登录帐户密码。在安装或修改该服务时可应用该选项。  
    
  [-Dependencies  service_name_dependency  [;…n]  ]  
    
  指定该服务与其它服务的相关性。只有当父服务运行时,相关服务才能运行。在安装或修改该服务时可应用该选

项。  

scm  -Action  7  -Service  SQLSERVERAGENT  -ExePath  c:MICROS~2MSSQLbinnsqlagent.exe  –

SvcStartType  1  -SvcAccount  ECHHUGHIE-SvcPwd  1111  
1.  通过本地用户管理,建立一个本地用户sqlserver,密码:123456;
2.  如果现在就我们打开SERVICES配置通过该用户启动,系统会报错误:
Source:Service Control Manager
Event ID:7000
Description:
The %service% service failed to start due to the following error:
The service did not start due to a logon failure.
No Data will be available.
这是因为作为一个普通用户是无法启动服务的,我们需要给sqlserver用户分配必要的权限。
SQL Server服务启动账号必须有3个基本权限:
l        数据库本地目录的读写权限;
l        启动本地服务的权限;
l        读取注册表的权限;
  
3.  赋予sqlserver用户mssql(WINDOWS平台上强大的数据库平台)目录的读写权限;
因为我的SQL SERVER是安装在D盘,所以我在权限管理中,将D:PROGRMAM FILEMicrosoft SQL Servermssql(WINDOWS平台上强大的数据库平台)读写权限赋予sqlserver用户。
4.  分配sqlserver用户启动本地服务的权限;
这个比较复杂,我只举例作为成员服务器的情况。
l        启动“Local Security Setting” MMC 管理单元。  
l        展开Local Policy,然后单击User Rights Assignment。  
l        在右侧窗格中,右键单击Log on as Service,将用户添加到该策略,然后单击OK。  
l        在右侧窗格中,右键单击Log on as a batch job,将用户添加到该策略,然后单击OK
l        在右侧窗格中,右键单击Locks pages in memory,将用户添加到该策略,然后单击OK
l        在右侧窗格中,右键单击Act as part of the operating systme,将用户添加到该策略,然后单击OK
l        在右侧窗格中,右键单击Bypass traverse checking,将用户添加到该策略,然后单击OK
l        在右侧窗格中,右键单击Replace a process level token,将用户添加到该策略,然后单击OK
l        关闭“Local Security Setting” MMC 管理单元。  
如图:
5.  重新启动系统,用sqlserver用户登陆系统;
6.  再重新启动系统,已administrator用户登陆,打开SERVICES管理工具,配置用该用户启动mssql(WINDOWS平台上强大的数据库平台)SERVER服务;
    
  
这样我们就可以通过限制SQLSERVER用户的权限来控制SQLSERVER扩展存储过程的权限。
/* =============================================
— Author:      UltraDBA
— Date:        2009-05-30
— Description: How to change SQL Server 2000 startup account(NO Administrators)
—              Step 1:Install the WMI.
—              Step 2:Programming with the WMI.
—              Step 3:Execute VBS.
— =============================================
*/

–Step 1:Install the WMI.
BatchFile code @echo oncdmsiexec /i “D:sql server2000X86OTHERWMISQLWMI80.MSI” /quiet /passive /qn /norestartpause@echo off

–Step 2:Programming with the WMI,Saved to D:ChangeMSSQLSERVERAccount.vbs.
VBScript. code strComputer = “.” Set bjWMIService = GetObject(“winmgmts:\” & strComputer & “rootMicrosoftSQLServer”)    ' Obtain an instance of the the class ' using a key property value. Set bjShare = objWMIService.Get(“Win32_Service.Name='MSSQLServer'”) ' Obtain an InParameters object specific ' to the method. Set bjInParam = objShare.Methods_(“Change”).inParameters.SpawnInstance_() ' Add the input parameters. objInParam.Properties_.Item(“StartName”) = “.SqlUser” objInParam.Properties_.Item(“StartPassword”) = “123456” ' Execute the method and obtain the return status. ' The OutParameters object in objOutParams ' is created by the provider. Set bjOutParams = objWMIService.ExecMethod(“Win32_Service.Name='MSSQLServer'”, “Change”, objInParam) ' List OutParams If objOutParams.ReturnValue = 0 Then    Wscript.Echo “The service account of MSSQLServer was changed.”Else    Wscript.Echo “ReturnValue: ” & objOutParams.ReturnValueEnd If

–Step 3:Execute VBS D:ChangeMSSQLSERVERAccount.vbs.
SQL code @echo oncdD:ChangeMSSQLSERVERAccount.vbs@echo off

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8484829/viewspace-605582/,如需转载,请注明出处,否则将追究法律责任。

主题测试文章,只做测试使用。发布者:深沉的少年,转转请注明出处:http://www.cxybcw.com/184794.html

联系我们

13687733322

在线咨询:点击这里给我发消息

邮件:1877088071@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code